ФастСпи

До Mezo. у Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Преведи на:

Група Кимсуки АПТ (Адванцед Персистент Тхреат) наставља да шири свој арсенал претећих алата. Најновији идентификовани додатак је три мобилне претње које се користе у кампањама напада које циљају Андроид уређаје жртава. Детаљи о раније непознатим штетним претњама које се сада прате као ФастФире , ФастВиевер и ФастСпи објављени су у извештају истраживача малвера из јужнокорејске компаније за сајбер безбедност.

Верује се да хакерску групу Кимсуки подржава Северна Кореја. Његове активности се могу пратити још од 2012. године, а његове мете су стално лоциране у Јужној Кореји, Јапану и САД. Хакери су углавном спроводили кампање сајбер шпијунаже које имају за циљ да прикупе осетљиве информације од појединаца или организација укључених у политику, дипломатију, медијски или истраживачки сектори.

ФастСпи Аналисис

ФастСпи претња се примењује на зараженим уређајима помоћу имплантата ФастВиевер претходне фазе. Примарна функција ФастСпи-а је да омогући нападачима даљинску контролу над уређајем жртве. Претња може да стекне додатне привилегије злоупотребом истих привилегија Андроид приступачности АПИ-ја које ФастВиевер покушава да добије. То постиже тако што приказује искачући прозор који захтева потребну дозволу, а затим се симулира клик на дугме „Слажем се“. Није потребна интеракција корисника. Метода показује неколико карактеристика које су сличне ономе што је раније уочено у претњи од злонамерног софтвера Малибот , као начин да се заобиђе Гоогле-ов МФА (вишефакторска аутентификација).

Наметљиве могућности ФасСпи-а укључују отмицу телефона, прикупљање СМС информација, праћење локације уређаја и праћење камере, микрофона, звучника, лекара опште праксе и других функција у реалном времену. Кимсуки хакери такође могу да искористе претњу да приступе датотекама на уређају и ексфилтрирају их на сервер за команду и контролу операције. Треба истаћи да су истраживачи С2В-а потврдили вишеструке сличности у називу методе, формату поруке, коду, функцијама, итд., између ФастСпи-а и отвореног кода РАТ (тројанац за даљински приступ) познатог АндроСпи.